Biztonságvezérlés: Naplózás és monitorozás
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
A biztonsági naplózás és figyelés az Azure-szolgáltatások auditnaplóinak engedélyezésével, beszerzésével és tárolásával kapcsolatos tevékenységekre összpontosít.
2.1: Jóváhagyott időszinkronizálási források használata
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2.1 | 6.1 | Microsoft |
A Microsoft fenntartja az Azure-erőforrások időforrásait, ön azonban kezelheti a számítási erőforrások időszinkronizálási beállításait.
Időszinkronizálás konfigurálása Azure Windows számítási erőforrásokhoz
Időszinkronizálás konfigurálása Azure Linux számítási erőforrásokhoz
2.2: Központi biztonsági naplókezelés konfigurálása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2,2 | 6.5, 6.6 | Ügyfél |
Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitoron belül használja a Log Analytics-munkaterület(ek)et az elemzések lekérdezéséhez és végrehajtásához, valamint az Azure Storage-fiókok hosszú távú/archiválási tárolásához.
Másik lehetőségként engedélyezheti és felügyelheti az adatokat az Azure Sentinel vagy egy külső SIEM számára.
Azure-beli virtuális gép belső gazdagépnaplóinak gyűjtése az Azure Monitorral
Az Azure Monitor és a külső SIEM-integráció használatának első lépései
2.3: Naplózás engedélyezése Az Azure-erőforrások naplózásának engedélyezése
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2.3 | 6.2, 6.3 | Ügyfél |
Az Azure-erőforrások diagnosztikai beállításainak engedélyezése a naplózási, biztonsági és diagnosztikai naplókhoz való hozzáféréshez. Az automatikusan elérhető tevékenységnaplók tartalmazzák az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és egyéb hasznos elemeket.
2.4: Biztonsági naplók gyűjtése operációs rendszerekről
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2,4 | 6.2, 6.3 | Ügyfél |
Ha a számítási erőforrás a Microsoft tulajdonában van, akkor a Microsoft feladata annak monitorozása. Ha a számítási erőforrás a szervezet tulajdonában van, az Ön felelőssége annak monitorozása. A Azure Security Center használatával monitorozhatja az operációs rendszert. A Security Center által az operációs rendszerről gyűjtött adatok közé tartozik az operációs rendszer típusa és verziója, az operációs rendszer (Windows-eseménynaplók), a futó folyamatok, a gép neve, az IP-címek és a bejelentkezett felhasználó. A Log Analytics-ügynök összeomlási memóriaképfájlokat is gyűjt.
2.5: A biztonsági naplótár megőrzésének konfigurálása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2.5 | 6.4 | Ügyfél |
Az Azure Monitoron belül állítsa be a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Használja az Azure Storage-fiókokat a hosszú távú/archivált tároláshoz.
2.6: Naplók monitorozása és áttekintése
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2,6 | 6.7 | Ügyfél |
Elemezheti és figyelheti a naplókat a rendellenes viselkedés érdekében, és rendszeresen áttekintheti az eredményeket. Az Azure Monitor Log Analytics-munkaterületének használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon.
Másik lehetőségként engedélyezheti és felügyelheti az adatokat az Azure Sentinel vagy egy külső SIEM számára.
2.7: Rendellenes tevékenységek riasztásainak engedélyezése
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2.7 | 6.8 | Ügyfél |
A biztonsági naplókban és eseményekben található rendellenes tevékenységek figyeléséhez és riasztásához használja a Azure Security Center-t a Log Analytics-munkaterülettel.
Másik lehetőségként engedélyezheti és felügyelheti az adatokat az Azure Sentinelben.
2.8: Kártevőirtó naplózás központosítása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
2,8 | 8,6 | Ügyfél |
Kártevőirtó-eseménygyűjtés engedélyezése az Azure Virtual Machines és Cloud Services számára.
2.9: DNS-lekérdezések naplózásának engedélyezése
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
2.9 | 8.7 | Ügyfél |
Implementáljon egy külső megoldást a Azure Marketplace dns-naplózási megoldásához, a szervezetek igényeinek megfelelően.
2.10: Parancssori naplózás engedélyezése
Azure ID | CIS-azonosítók | Felelősség |
---|---|---|
2.10 | 8.8 | Ügyfél |
A Microsoft Monitoring Agent használatával minden támogatott Azure Windows rendszerű virtuális gépen naplózhatja a folyamatlétrehozás eseményét és a CommandLine mezőt. Támogatott Azure Linux rendszerű virtuális gépek esetén manuálisan konfigurálhatja a konzolnaplózást csomópontonként, és a Syslog használatával tárolhatja az adatokat. Emellett az Azure Monitor Log Analytics-munkaterületének használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre az Azure-beli virtuális gépekről naplózott adatokon.
Következő lépések
- Lásd a következő biztonsági vezérlőt: Identitás és Access Control